Vulnerabilità OpenStack-Cinder: Gestione impropria delle credenziali back-end PowerFlex (CVE-2020-10755)

Summary: Questa vulnerabilità di sicurezza è presente quando si utilizza Cinder con il back-end di storage PowerFlex.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Questa vulnerabilità di sicurezza si applica solo quando si utilizza un back-end PowerFlex con Cinder. Gli altri driver non sono interessati.

Cause

Quando si utilizza Cinder con il driver di storage back-end Dell EMC ScaleIO, le credenziali per l'intero back-end vengono esposte nell'elemento ''connection_info'' in tutte le chiamate API Block Storage v3 Attachments contenenti tale elemento. Ciò consente a un utente finale di creare un volume, effettuare una chiamata API per visualizzare le informazioni dettagliate dell'allegato e recuperare un nome utente e una password che possono essere utilizzati per connettersi al volume di un altro utente. Inoltre, queste credenziali sono valide per l'API di gestione ScaleIO, nel caso in cui un utente malintenzionato individui l'endpoint dell'API di gestione.

Resolution

Soluzione alternativa

Applicare le azioni consigliate nell'articolo Openstack riportato di seguito:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Versioni interessate

2.x, 3.x

Risolto nella versione

N/D

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.